I. Introducción
Con el amplio y rápido despliegue de las redes y de los dispositivos inalámbricos, han ido en aumento los retos concernientes a su seguridad. Con el anexo 802.11i de la IEEE1, publicado en el año 2004, se lograron solventar en gran medida algunos problemas de seguridad en el ámbito de la confidencialidad y la integridad, pero los problemas asociados a la disponibilidad aún no han sido investigados con profundidad2),(3. Adicionalmente, aparecen nuevas vulnerabilidades inherentes a la operación y la implementación de este estándar4),(5, las cuales dan a lugar a posibles nuevos ataques.
El uso de IEEE802.11i RSN (Robust Secure Network) conlleva significativas mejoras en seguridad6 y el empleo de CCMP (Counter Mode with Cipher Block Chaining MAC Protocol) agrega confidencialidad e integridad a la comunicación, acompañado de 802.1x7, permite la autenticación mutua entre el AP (Access Point) y la STA (Station).
Desafortunadamente, este estándar no ofrece protección a las tareas para la operación de la red que utilizan las tramas de control y de gestión, y no trata el tema de la disponibilidad para ninguno de los tres tipos de tramas (control, gestión y datos). Debido a que la información contenida en los paquetes de gestión y de control de la capa de enlace de datos o capa MAC (Medium Access Control) no está encriptada1, se puede extraer y explotar la información de los protocolos y sus implementaciones para provocar ataques a la disponibilidad8),(5, y al funcionamiento de la red.
II. Detección de intrusiones
A través del análisis del tráfico de la red se pueden detectar posibles ataques, especialmente aquellos que buscan alterar la disponibilidad de la información y de los servicios, para lo cual se han desarrollado herramientas de software y hardware llamadas Sistemas de Detección de Intrusiones (IDS). Estos sistemas pueden ser divididos en dos grandes categorías, dependiendo de la estrategia de análisis y detección de dichos eventos: los IDS basados en la detección de uso indebido y los basados en la detección de anomalías9.
III.SISTEMAS DE DETECCIÓN DE INTRUSIONES EN REDES 802.11
Un sistema inalámbrico de detección de intrusiones (WIDS) está basado en un conjunto de sensores y un nucleo que recibe toda la información proporcionada en todas las areas de cobertura de los sensores inalámbricos.
A. Arquitectura
Un WIDS puede ser:
Centralizado
Basado en la combinación de sensores individuales los cuales recopilan y remiten todos los datos 802.11 a un analizador central, donde los datos son almacenados y procesados.
Ventajas.-
- Permite una fácil administración de protección a áreas grandes de redes 802.11. Expansiones a la red afectan solamente a él analizador.
- Permite una gran visión de lo que ocurre en todas las partes de la redes 802.11.
Desventajas.-
2. Distribuido
Suele incluir uno o más dispositivos que se encargan tanto de la recolección y procesamiento de la información de los IDS.
Ventajas.-
Desventajas.-
- El costo de sensores con alta capacidad de procesamiento puede llegar a ser exagerado cuando muchos sensores son requeridos.
- La administración de múltiples sensores de procesamiento de información puede ser más difícil que la de un modelo centralizado.
- Expansiones en la red provocará una reprogramación en todos los sensores.
IV.TÉCNICAS EN LA DETECCIÓN DE INTRUSIONES EN REDES 802.11
A. Detección de uso indebido
La estrategia más utilizada para la detección de intrusiones consiste en la detección de uso indebido (patrones) para reconocer ataques previamente conocidos. La mayoría de los IDS disponibles en el mercado son de este tipo10, donde algunos de los más populares son SNORT11 y BRO IDS12. Dentro de este grupo se pueden destacar investigaciones como13, donde se expone un método para la selección de las características más relevantes de las tramas para la detección de intrusiones basada en patrones, en redes con el estándar 802.11. Además, se muestra cómo emplear un número muy grande de características puede conllevar a una degradación de la razón de detección del IDS. En14),(15 se describe cómo a través de modelos de transición de estados se puede representar intrusiones específicas y los autores implementan una herramienta llamada STATS (State Transition Analysis Tool) para la detección de intrusiones. Sin embargo, la detección de uso indebido puede acarrear varios problemas como la incapacidad de detectar los ataques nuevos y sus variantes.
La detección de usos indebidos se puede implementar de las siguientes formas:
1.Firmas Simples
La detección de firmas compara los eventos que ocurren, con las cadenas o firmas almacenadas en una base de datos de escenarios de ataque en busca de coincidencias. Su principal inconveniente es la necesidad de desarrollar e incorporar a la base de datos una firma nueva para cada nuevo tipo de ataque o vulnerabilidad descubierta.
2.Análisis de Transición de Estados
Se crean a partir de la construcción de una máquina de estados finitos. Los escenarios de ataques se representan como una secuencia de transiciones que caracterizan la evolución del estado de seguridad de un sistema. Cuando el autómata alcanza un estado considerado como una intrusión, se lanza la alarma. Algunas ventajas son las siguientes:
- Las transiciones ofrecen una forma de identificar una serie de patrones que conforman un ataque.
- El diagrama de estados define la forma más sencilla posible de definir un ataque. Así, el motor de análisis puede utilizar variantes del mismo para identificar ataques similares.
- El sistema puede detectar ataques coordinados y lentos.
Sin embargo, presentan algunas desventajas:
3.Sistemas Expertos
Los sistemas expertos tienen el conocimiento codificado mediante reglas de implicación (condición-acción) de tipo “if-then-else”para examinar los datos. Realizan análisis mediante funciones internas al sistema, de forma completamente transparente al usuario.
Una de las ventajas más importantes de utilizar reglas "if-then" es que mantiene separados el control de razonamiento y la formulación de la solución del problema.
La principal desventaja que se plantea es que los patrones no definen un orden secuencial de acciones.
B. Detección de Anomalías
Los IDS basados en anomalías, por otro lado, detectan desviaciones en el comportamiento esperado o normal de los sistemas y las redes, las cuales pudieran constituir intentos de ataques. Por tal motivo, los IDS basados en el descubrimiento de anomalías son potencialmente capaces de detectar los ataques existentes y los nuevos, sin la necesidad de ser pre-configurados o actualizados de ninguna manera16.
Los eventos de interés para los IDS basados en anomalías pueden estar definidos de dos maneras: por modelos estadísticos y por modelos specification-based17),(18.
1. Modelos Estadísticos
Los modelos estadísticos hacen uso de variables o características para estimar el comportamiento de la red, pero necesitan de un periodo de entrenamiento para determinar cuál es el comportamiento esperado o normal de la red.
Dentro de este tipo se pueden destacar las investigaciones de19 y 20, donde se proponen modelos que consideran la variación temporal de ciertos parámetros del tráfico para determinar el comportamiento de un posible atacante en la red, aunque no hacen uso de ningún parámetro de control o de gestión. En19 los autores se enfocan en múltiples comportamientos no esperados en WLAN 802.11 pero ponen énfasis en la detección del parámetro de backoff. El algoritmo de detección calcula y estima un tiempo promedio de backoff y genera una alarma si la estimación es sospechosamente baja.
En21 Rong et.al. realizan una aproximación estadística, usando SPRT (Sequential Probability Radio Test) desarrollan un algoritmo para detectar estaciones fraudulentas que modifican sus tiempos de backoff. En22 consideran el problema de un atacante que puede modificar su estrategia de intrusión (con inteligencia), por medio de la técnica “min-max robust detection”, basándose en un número requerido de observaciones para la decisión, lo cual introduce demoras.
2. Modelos basados en la especificación
La detección de intrusiones specification-based fue sugerida inicialmente por Ko23 y más recientemente aplicada en17),(24),(25. Este método se basa en describir el comportamiento normal y expresarlo a manera de especificaciones. Las desviaciones a estas especificaciones son tratadas como un evento anormal, pudiéndose tratar de una intrusión. Una especificación puede estar basada en la transición de estados que puede ocurrir durante el comportamiento normal y/o por una expresión específica basada en políticas de seguridad previamente declaradas.
Sekar et.al.17 proponen un IDS para redes cableadas basado en modelación de la máquina de estados de los protocolos, combinado con técnicas estadísticas. En18 Gill basa su investigación en redes WLAN IEEE802.11 tipo infraestructura y se centra en el esquema RSN, no toma en cuenta pre-RSN (sin el esquema de autenticación de 4 vías de RSN) ni técnicas de respuesta y no se basa en modelos estadísticos o matemáticos para la detección. Proponen como trabajo futuro extraer los modelos de transición de estados de manera automática desde los datos de entrenamiento y desarrollar un extensible y comprensible lenguaje de especificación para incorporar los modelos de transición de estados en una especificación.
En17 y 26) los autores realizan un análisis temporal de la máquina de estados de redes WLAN 802.11i para la detección de intrusiones, pero aplicado a ataques conocidos.
V. EVALUACION DEL DESEMPEÑO DE IN WIDS
Dada la naturaleza de las redes inalámbricas, detectar intrusiones en WLAN 802.11 se convierte en un reto muy grande porque tanto los APs y como las STAs en la red se comportan de manera no determinada, dependiendo el tráfico que envíe o reciba cada nodo, así como la interferencia en el medio debido al número de nodos conectados o a fallas en la transmisión. El WIDS debe poder detectar eventos que se desvíen del comportamiento normal y determinar si ese comportamiento inusual se debe a una posible intrusión o a la interferencia en el medio de comunicación. Adicionalmente, debe detectar ataques en los protocolos usados en la red inalámbrica, por lo cual necesita concentrarse en protocolos de la capa física y de enlace de datos para detectar potenciales ataques27),(28),(3.
Para evaluar el desempeño de los IDS se utilizan varios criterios, pero si se requiere determinar su efectividad de un modo cuantitativo se han definido los términos de falsos positivos y falsos negativos9.
Los IDS tradicionales como Snort11 y su solución comercial Sourcefire29, RealSecure30, Cisco Intrusion Detection System31 o Dragon32, analizan en los paquetes la información correspondiente a la capa 3 (capa de red) y superiores, a diferencia de los WIDS (Wireless IDS), que además utilizan la información de la capa de enlace de datos (capa MAC).
Dentro de los WIDS existentes en el mercado se pueden destacar AirDefense33, AirTight34 y algunos de tipo académico como Kismetwireless35 o Widz36 los cuales, además de los análisis tradicionales en capa 3 y superiores, integran ciertos filtros que utilizan información la capa MAC para detectar ataques específicos en WLAN como son los APs no autorizados, el WarDriving, y las inundaciones.
La limitación de este tipo de herramientas es que, al basarse en la detección de mal uso, no detectan ataques nuevos o desconocidos37.
Hasta aquí se puede concluir que han sido realizadas varias investigaciones con respecto a métodos y técnicas para la detección de intrusiones en redes WLAN38. Utilizando estrategias de detección de usos indebidos y de anomalías o una mezcla de ambas, se logra cierta efectividad en la detección de ataques específicos, previamente conocidos, mostrando bajas tasas de falsos positivos, pero con una incapacidad clara en la detección de ataques nuevos o no conocidos.
Además, dentro del campo de la modelación del comportamiento normal en redes 802.11i para la detección de intrusiones y más específicamente, con los paquetes de gestión y control de la capa MAC, es poco el trabajo realizado39),(40),(41.
Adicionalmente, de los modelos que estiman el comportamiento normal de una red WLAN utilizando alguno o algunos parámetros de paquetes de gestión y control de la capa MAC, no se han obtenido resultados concluyentes. Ataques de denegación de servicios que afectan a la disponibilidad de las redes y los sistemas son todavía muy difíciles de detectar por los sistemas existentes.
Se ha identificado que para la detección de intrusiones en entornos inalámbricos, se requiere el uso de información de la capa MAC13),(27),(28.
Por estas razones se hace necesario encontrar una solución científica mediante la cual se pueda estimar el comportamiento normal y anómalo en una red WLAN, en presencia o no de interferencia, utilizando los parámetros de paquetes de control y de gestión de la capa MAC, logrando detectar los ataques nuevos y los conocidos, y reducir el número de falsos positivos y negativos, permitiendo mejorar la efectividad del sistema de detección de intrusiones.
VI. Conclusiones
Además de las vulnerabilidades existentes en los protocolos implementados para la seguridad en redes 802.11, tales como las de los protocolos WEP, WPA y WPA2, existen vulnerabilidades inherentes a la naturaleza del tráfico en una red inalámbrica que hacen posible la explotacion de estas vulnerabilidades a travez de ataques de denegación de servicio (DOS)
Se ve necesario la generación de mecanismos para detectar ataques de denegación de servicios en redes WLAN 802.11i, desde sus tramas básicas, es decir utilizando los parámetros de paquetes de control y gestión de capa MAC.
El desarrollo de WIDS que detectan intrusiones en la capa de enlace constituiría un gran avance en la solución de los problemas de seguridad de las redes inalámbricas, ya que la capa de enlace es la que caracteriza el acceso al medio inalámbrico.